Tipos de phishing en el móvil y cómo protegernos de ellos

Son muchos los ataques de seguridad que podemos sufrir en nuestros dispositivos. Uno de los más presentes es el Phishing. Básicamente es una estrategia que usan los piratas informáticos para robar contraseñas y datos personales. En este artículo vamos a explicar cómo funciona el Phishing en el móvil, qué tipos existen y, lo más importante, cómo podemos protegernos y evitar problemas.

Cómo funciona el Phishing en el móvil

Un ataque Phishing en el móvil podemos decir que es un cebo, una trampa, donde caemos y exponemos nuestros datos. Por ejemplo hacer clic en un enlace que nos lleva a una página fraudulenta, que simula ser algo oficial. Al poner la contraseña, en vez de iniciar sesión en esa plataforma con normalidad, en realidad estamos enviando esos datos directamente a un pirata informático.

Normalmente los ciberdelincuentes van a utilizar alguna estrategia para que caigamos en el anzuelo. Por ejemplo indicarnos que hay algún problema con la cuenta, que tenemos que poner algún dato para verificar que todo funciona bien, etc. Suelen jugar con la urgencia, por lo que la víctima tiene poco tiempo para pensar y terminan accediendo.

Estos ataques no son exclusivos en los móviles, pero sí podemos decir que en los últimos años ha crecido mucho por el hecho de ser dispositivos más usados y que prácticamente cualquiera lo tiene a mano todo el día. Esto lo aprovechan los piratas informáticos y envían ataques Phishing para robar datos.

Qué tipos hay

Los ataques Phishing en el móvil no llegan únicamente por una vía, ni son de un tipo concreto. Como vas a ver, hay varios métodos que pueden usar los cibercriminales. Todos ellos van a estar orientados en el robo de contraseñas e información personal, pero hay diferencias entre ellos y en la manera de ejecutarlos.

SMS o Smishing

El primero, uno de los más presentes en los teléfonos móviles, es el Phishing por SMS o también conocido como Smishing. En este caso el atacante va a enviar un mensaje de texto al móvil de la víctima, donde buscará que haga clic en algún enlace y de esa forma ejecutar el ataque para lograr su objetivo.

Un ejemplo claro es un ataque Phishing que llega por SMS y simula ser de un banco. Solicitan iniciar sesión para solucionar un problema, por ejemplo, pero en realidad se trata de una estafa. Al hacer clic en el enlace vamos a parar a una página que es una copia de la original y todo lo que enviemos va a ir a un servidor controlado por los atacantes.

También es muy común recibir un SMS donde nos indican que no se ha podido entregar un paquete que nos va a enviar una determinada empresa de transporte. Esto especialmente se incrementa en épocas como la Navidad. Es exactamente igual que el caso del Phishing bancario y también va a buscar robar datos personales y contraseñas.

Problema del Phishing por SMS

Por correo

El tipo de Phishing clásico es a través del correo electrónico. Esto no es exclusivo del móvil, lógicamente, pero el hecho de utilizar más estos dispositivos hace que sea más peligroso. Cualquier e-mail que recibamos lo podemos abrir directamente desde el móvil. Y es justo en este tipo de dispositivos donde más errores podemos cometer.

Si recibimos un e-mail y lo leemos desde el móvil, es más probable que terminemos haciendo clic en un enlace fraudulento que si lo abrimos desde el ordenador, donde somos más cuidadosos y también podemos identificar un fraude mejor. Por ello los piratas informáticos tienen aquí una buena oportunidad y es un método que, junto al SMS, está muy presente.

En el mensaje del correo electrónico pueden utilizar cualquier estrategia. Por ejemplo indicarnos que hay algún problema con una red social, como puede ser Facebook o Twitter, y tenemos que acceder con nuestros datos. También algún fallo con el propio correo o cualquier otro servicio online.

Spear Phishing y Angler Phishing

Normalmente los ataques Phishing son genéricos. Es decir, recibimos un correo o un SMS sin que estén dirigidos realmente a nosotros. Vamos a recibir algo del tipo “estimado usuario”. Aunque solo con eso ya tienen una probabilidad de éxito importante, es aún mayor cuando envían los ataques más personalizados.

Eso es lo que hace le Spear Phishing. Es básicamente un ataque como los anteriores, pero van dirigidos al nombre de la víctima. Ese SMS o e-mail van a ser más personal, por lo que los atacantes van a tener mayor probabilidad de éxito. A fin de cuentas, una persona va a tener más interés en abrir un enlace si han recibido un mensaje a su nombre.

El Angler Phishing va un poco más allá. No solo van a enviar un ataque Phishing al nombre de la víctima, sino que van a crear un ataque muy bien orquestado. En este caso van a obtener información principalmente a través de redes sociales. Por ejemplo averiguar dónde trabaja la víctima, dónde estudia, qué intereses tiene… En base a todo eso van a crear un perfil de la víctima y van a saber de qué manera es más probable que caiga en la trampa.

Vishing

Un tipo de Phishing para móviles que ha crecido también mucho en los últimos años es lo que se conoce como Vishing. No se trata en este caso de texto, sino de una llamada telefónica. Por medio de la voz, el atacante va a simular algo que no es con el objetivo de que la víctima ceda sus datos y caiga en la trampa.

Por ejemplo, podría hacerse pasar por un empleado de un banco donde la víctima tiene una cuenta. Le indica que hay un error con su cuenta y que necesitan cierta información. Incluso pueden decirle que ha habido un ataque contra su cuenta bancaria y que necesitan solucionarlo para que no les roben dinero, pero que para poder arreglarlo tienen que entrar con su contraseña.

La víctima, nerviosa por ver cómo su cuenta puede estar en peligro, confía en esa llamada y le indica los datos que solicita el atacante. Esto a veces incluye códigos de autenticación en dos pasos, por lo que el ciberdelilncuente va a tener un control total sobre la cuenta.

QRishing

Seguro que en alguna ocasión has ido a un restaurante y has visto el menú a través del móvil con el lector QR. También al visitar un monumento o cualquier lugar con un panel informativo. Su funcionamiento es sencillo: usas la cámara del móvil y una aplicación para leer un código que te deriva a una página web.

Lo que hace el atacante es modificar ese código QR. Va a simular que es legítimo, pero en realidad va a derivar a la víctima a una página falsa, donde va a robar los datos personales y contraseñas. Esos códigos los pueden poner en un restaurante, un monumento o cualquier lugar en donde debía haber otro que sí es legítimo.

Cómo evitar estos ataques

Como has podido ver, hay diferentes ataques Phishing que pueden afectar a un móvil. Pueden robar tus contraseñas o datos personales a través de diferentes métodos. Por ello es imprescindible estar protegido y evitar ser víctimas de ese problema. Vamos a dar una serie de consejos esenciales.

Sentido común

Sin duda lo más importante para evitar el Phishing en móviles es el sentido común. Es esencial no cometer errores que puedan afectarnos. Por ejemplo mirar muy bien dónde hacemos clic, qué SMS o e-mail hemos recibido, dónde abrimos un código QR, etc. Generalmente los piratas informáticos van a necesitar que cometamos algún error y en el caso del Phishing es fundamental.

Por tanto, si evitas errores, si navegas por Internet observando muy bien las URL de las páginas que visitas o enlaces que abres a través de un SMS, evitarás caer en la trampa. Aquí la observación va a ser imprescindible, por lo que debes en todo momento estar alerta y detectar cualquier indicio de que algo raro hay. Y siempre en caso de duda, mejor no abrir un link.

Proteger los móviles

Por supuesto, un consejo también importante es proteger el teléfono móvil correctamente. Esto te ayudará a detectar posibles amenazas que lleguen a través del e-mail, SMS o si por error has caído en la trampa y has bajado algún archivo malicioso que creías que era un documento legítimo.

Un buen antivirus va a ayudarte a estar más protegido siempre. Hay muchas opciones, tanto gratuitas como de pago. No obstante, siempre recomendamos que las bajes de tiendas oficiales, como puede ser Google Play, y mires muy bien comentarios de otros usuarios y no instales una aplicación insegura.

Activar la autenticación en dos pasos

Los ataques Phishing en móviles generalmente tienen como objetivo robar las contraseñas. ¿Cuál es la mejor barrera para evitar problemas incluso si saben cuál es la clave? Sin duda la autenticación en dos pasos. Es una barrera extra de seguridad que va a obligar al atacante a tener que dar un segundo paso para entrar, que suele ser un código que recibimos mediante SMS, correo o aplicación.

Esto va a permitir que protejamos aún más nuestras cuentas. Vamos a estar más preparados para hacer frente a un ataque Phishing y nos daría margen para poder cambiar la contraseña antes de que el atacante pudiera entrar en la cuenta y robar información o actuar en nuestro nombre.

En definitiva, los ataques Phishing en el móvil son un problema importante para el que debemos estar preparados en todo momento. Hemos dado una serie de consejos para prevenir problemas de seguridad de este tipo, así como los diferentes tipos de ataques que pueden afectar a la hora de usar el móvil y que van a comprometer la privacidad y seguridad.

¡Sé el primero en comentar!